log- sprawdźcie i jeszcze doradźcie

IP: *.aster.pl 27.07.05, 21:41
Chyba jestem bardzo niekumata, ale nie daje rady- tydzień bez kompa... Być
może że usunełam czegos za duzo. W kazdym razie wszystko się zawiesza, już na
szczescie nie restartuje w kółko.. ale w sumie efekt ten sam- nie działa.

Oto aktualny log. Cały czas pokazuje sie info ze idgaol32.exe oraz
MDInetwork manager.exe i explorer.exe zostaną zamkniete bo coś tam
HELP. TAK BARDZO BARDZO ŁOPATOLOGICZNIE. Mam juz na płytce przegrane programy
które były tu polecane ale nie chca sie otworzyć, bo wszystko siada. No i nie
mam dostępu do sieci, też siadł
    • Gość: pati Re: log- sprawdźcie i jeszcze doradźcie IP: *.aster.pl 27.07.05, 21:42
      Logfile of HijackThis v1.99.1
      Scan saved at 21:28:53, on 2005-07-27
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\mdms.exe
      C:\Documents and Settings\Andrzej\Pulpit\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
      Settings,AutoConfigURL = www.aster.pl/aster.pac
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
      Settings,ProxyServer = w3cache.aster.pl:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
      O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\gg\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
      O4 - Global Startup: hp psc 1000 series.lnk = ?
      O4 - Global Startup: hpoddt01.exe.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: komentator - sport.onet.pl/komentator.cab
      O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) -
      czat.onet.pl/client/kalambury/NetPunGame1.dll
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
      O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
      O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} -
      C:\WINDOWS\System32\Nkknbjef.dll
      O21 - SSODL: System - {BBF17559-683C-4E04-8D5F-8C8792BDE82B} - vr_sys.dll (file
      missing)
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

      • neder Re: log- sprawdźcie i jeszcze doradźcie 27.07.05, 21:51
        start w awaryjny i usuwasz z dysku:
        > mdms.exe -> z C:\WINDOWS\System32\
        > Nkknbjef.dll -> z C:\WINDOWS\System32\
        > drct16.dll -> z C:\WINDOWS\SYSTEM32\-> o tym poczytaj tutaj:
        www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=30&p=109496?entry132561
        (Backdoor.Haxdoor wersja B i D z tego co widzę)


        w HJ zaznaczasz:
        > O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
        > O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
        > O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        > C:\WINDOWS\web\related.htm
        > O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        > 00aa003c157a} - C:\WINDOWS\web\related.htm
        > O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} -
        > C:\WINDOWS\System32\Nkknbjef.dll
        > O21 - SSODL: System - {BBF17559-683C-4E04-8D5F-8C8792BDE82B} - vr_sys.dll (file
        >
        > missing)


        reset i kwlejasz nowy log
        • neder jeszcze... 27.07.05, 21:52
          - brak aktualizacji
          - brak programu antywirusowego
          - brak firewalla

          a to wszystko znaczy, że jak tego nie zmienisz to za 5 minut będzie to samo ;(
        • neder Re: log- sprawdźcie i jeszcze doradźcie 27.07.05, 21:54
          > www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=30&p=109496?entry132561
          > (Backdoor.Haxdoor wersja B i D z tego co widzę)



          tylko D oczywiście


          ale śmiecę w Twoim wątku, sorry
          • Gość: pati Re: log- sprawdźcie i jeszcze doradźcie IP: *.aster.pl 27.07.05, 22:23
            dzięki. przystępuję do dzieła
      • Gość: Kolobos Re: log- sprawdźcie i jeszcze doradźcie IP: *.warszawa.sdi.tpnet.pl 27.07.05, 23:56
        Zanim wkleisz nowy log to przeskanuj system tym:
        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-
        fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
        download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem

        Zamknij porty tym:
        www.firewallleaktester.com/tools/wwdc.exe

        Zainstaluj antyvirus:
        www.avast.com/eng/avast_4_home.html
        • Gość: pati Re: log- sprawdźcie i jeszcze doradźcie IP: *.aster.pl / *.aster.pl 28.07.05, 00:24
          Uff. Chociaż internet juz działa. Ewido wyłapał 88 śmieci. Zainstalowałam też
          avast, ale wtedy internet działał powoli, właściwie nie chciały sie otwierać
          strony. Oba programy nie poradziły sobie z drct16.dll. Czy można mieć
          zainstalowane jednoczesnie te dwa p.antywirusowe?

          Tak więc w żaden sposób nie mogę usunąć z dysku:
          mdms.exe -z C:\WINDOWS\System32 oraz drct16.dll -z C:\WINDOWS\SYSTEM32.
          Stworzyłam plik FIX.REG, próbowałam usunąć z awaryjnego, jednak pojawia się
          komunikat, że plik jest używany itp. i nie można go usunąć.
          • Gość: Kolobos Re: log- sprawdźcie i jeszcze doradźcie IP: *.warszawa.sdi.tpnet.pl 28.07.05, 00:29
            Jakbys zrobila wszystko tak jak jest opsisane na stronie to napewno by sie
            usunal wiec z tego prosty wniosek, ze nie zrobilas ;-)

            Uzyj tego:
            www.downloads.subratam.org/KillBox.zip
            Wybierasz plik, zaznaczasz delete on reboot i naciskasz czerwony przycisk, a po
            resecie juz go nie ma :P

            Jak nie bedziesz miala antyvirusa to kiedys w ogole moze przestac dzialac, a
            nie tylko bedzie dzialac powoli i to nie koniecznie internet ale caly system ;-)

            Ewido po przeskanowaniu odinstaluj bo nie bedzie juz potrzebny ale instalke
            sobie zostaw na przyszlosc :P
            • Gość: pati Re: log- sprawdźcie i jeszcze doradźcie IP: *.aster.pl / *.aster.pl 28.07.05, 00:38
              dzięki. czeka mnie zatem dalsza robota.ale to już chyba za parę godzin.
              • Gość: pati Re: log po czyszczeniu IP: *.aster.pl / *.aster.pl 28.07.05, 19:36
                Czuję, że ruszyłam z miejsca. Wydaje mi się, że jest ok, ale martwi mnie, że
                wzystko działa teraz tak powoli. Interner otwiera z 5-8 min, wszystko jest
                jakieś opóźnione, nawet litery pojawiają się chwilkę po wstukaniu. Co
                odinastalować, aby komp chodził szybciej?

                Oto rezultat czystek

                Logfile of HijackThis v1.99.1
                Scan saved at 19:29:54, on 2005-07-28
                Platform: Windows XP (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\Explorer.EXE
                C:\Program Files\QuickTime\qttask.exe
                C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
                C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                C:\gg\Gadu-Gadu\gg.exe
                C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
                C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                C:\Program Files\Alwil Software\Avast4\ashServ.exe
                C:\Program Files\ewido\security suite\ewidoctrl.exe
                C:\Program Files\ewido\security suite\ewidoguard.exe
                C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
                C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
                C:\WINDOWS\System32\wuauclt.exe
                C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                C:\Program Files\Internet Explorer\iexplore.exe
                C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
                C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                C:\Documents and Settings\Andrzej\Pulpit\HijackThis.exe
                C:\WINDOWS\System32\wuauclt.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                forum.gazeta.pl/forum/71,1.html?f=430
                R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
                Settings,AutoConfigURL = www.aster.pl/aster.pac
                R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
                Settings,ProxyServer = w3cache.aster.pl:8080
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\System32\msdxm.ocx
                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                atboottime
                O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
                O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
                AntiSpyware\gcasServ.exe"
                O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\gg\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
                O4 - Global Startup: hp psc 1000 series.lnk = ?
                O4 - Global Startup: hpoddt01.exe.lnk = ?
                O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                Office\Office10\OSA.EXE
                O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\MSMSGS.EXE
                O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                O16 - DPF: komentator - sport.onet.pl/komentator.cab
                O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) -
                czat.onet.pl/client/kalambury/NetPunGame1.dll
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
                O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashServ.exe
                O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashMaiSv.exe" /service (file missing)
                O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashWebSv.exe" /service (file missing)
                O23 - Service: ewido security suite control - ewido networks - C:\Program
                Files\ewido\security suite\ewidoctrl.exe
                O23 - Service: ewido security suite guard - ewido networks - C:\Program
                Files\ewido\security suite\ewidoguard.exe
                O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

                • Gość: Kolobos Re: log po czyszczeniu IP: *.warszawa.sdi.tpnet.pl 28.07.05, 19:45
                  Odinstaluj ewido bo juz nie jest potrzebny.
                  Ale dalej masz mdms.exe
                  Tutaj masz opis tego trojana:
                  symantec.com/avcenter/venc/data/trojan.repsamo.html
                  Usun pliki, ktore sa wymienione na tej stronie killbox'em (dodaj wszystkie za
                  jednym razem bez resetu) nastepnie usun w rejestrze to co masz podane na
                  stronie ale wczensniej zrob kopie ;-)
Pełna wersja